Lääkinnällisten laitteiden kyberturvallisuus | Ilmoitetun laitoksen näkökanta

tammikuu 10, 2023

Kyberturvallisuusasiat ovat puhuttaneet lääkintälaitekentällä jo pidemmän aikaa – MDR:n tulon myötä kyberturvallisuuteen liittyvät vaatimukset ovat kasvaneet merkittävästi ja näitä vaatimuksia täyttämään on pulpahdellut (vihdoin!) jo kättä pidempää erilaisten ohjeistusten ja standardien muodossa.

MDCG-ohjeistuksia käytännössä tulkitaan Ilmoitetun laitoksen puolelta vaatimuksina – näin ollen esimerkiksi kyberturvallisuuteen tuotettu ohjeistus MDCG 2019-16 Guidance on Cybersecurity for medical devices luo perustan valmistajan prosesseille sekä tuotteen vaatimuksille. Ohjeistuksen kylkeen saimme vuoden 2021 lopussa uuden standardin helpottamaan kyberturvallisuusvaatimusten täyttämistä – IEC 81001-5-1:2021 Health software and health IT systems safety, effectiveness and security. Tämä standardi toi laadunhallintajärjestelmäprosesseihin uusia vaatimuksia paitsi mm. riskienhallintaan, ohjelmistokehitykseen, testaukseen mutta myös asiakaskommunikaatioon sekä toimittajahallintaan.

Suhteellisen tuore standardi on tuonut muutoksia myös Ilmoitetun laitoksen arviointikriteereihin. IEC 81001-5-1:2021 standardin täyttä implementointia valmistajan laadunhallintajärjestelmään ja prosesseihin odotetaan vasta toukokuussa 2024. Kuitenkin jo tällä hetkellä Ilmoitettu laitos (esim. TüV SüD) vaatii, että standardi vähintään tunnistetaan Johdon katselmuksessa (ISO 13485 kpl 5.6.2) ja että standardia vasten on tehty kattava gap-analyysi. Analyysin tuloksena valmistajan tulisi vähintään tunnistaa ne vaatimukset, joihin ei vielä täysin vastata ja näiden asioiden täydentämiseen tai korjaamiseen on jo hyvä löytyä aikataulutettu suunnitelma.

Muita vaatimuksia Ilmoitetun laitoksen puolelta ovat mm. seuraavat hyvät käytännöt, jotka valmistajan tulisi ottaa huomioon laadunhallintajärjestelmässään. Mikäli lääkinnällinen laite on osana tietoverkkoa, tulisi huomioida ohjeistus IEC TR 60601-4-5:2021 Medical electrical equipment – Part 4-5: Guidance and interpretation – Safety-related technical security specifications. Tuotekehityksen puolella toimintaa tulisi kehittää SDL:n suuntaan (Secure Development Lifecycle). Näin ollen pelkkä penetraatiotestaus tuotteen kehityksen loppupuolella ei riitä vaatimuksiin vastaamiseen. Ilmoitettu laitos painottaa myös, ettei erillistä riskienhallintaprosessia tulisi luoda kyberturvallisuuteen liittyville riskeille, vaan riskienhallintaprosessin tulisi kattaa kaikki riskit – myös mm. käytettävyysriskit.

Kyberturvallisuuden hanskaamiseksi Ilmoitettu laitos suosittelee STRIDE:en pohjautuvaa uhkamallinnusta. STRIDE:n voi halutessaan implementoida myös osaksi FMEA-tyyppistä arviointia, mikäli valmistajalla tällainen on jo käytössä. On hyvä huomata, että tässäkin asiassa dokumentaation taso on kattava – ei riitä, että valmistaja tunnistaa mitkä asiat pitää kyberturvallisuudessa ottaa huomioon vaan valmistajan on myös perusteltava miksi jotkin asiat eivät ole implementoituna tai eivät valmistajan tuotetta koske. Teknisen tiedostoon odotetaan dokumentaatiota uhkamallinnuksesta sekä penetraatio – ja haavoittuvuustestauksesta.

Myös markkinoille saattamisen jälkeiseen valvontaan tulisi kiinnittää huomiota – valmistajan on toiminnallaan osoitettava proaktiivista haavoittuvuuksien tunnistamista ja näihin tilanteisiin varautumista. Pelkästään oman tuotteen ja koodin puhtaanapitäminen ei tässäkään riitä, vaan myös SOUPit on otettava hallintaan.

Team NB julkaisi kyberturvallisuusvaatimuksiin liittyvän kannanoton lokakuussa 2022. Tämä kaivattu julkaisu pyrkii osoittamaan mitä lääkinnällisten laitteiden valmistajilta odotetaan “state-of-the-art”-tasoiseen kyberturvallisuuteen – tässäkin asiassa kannattaa siis pysyä hereillä ja alkaa päivittämään jo omaa toimintaansa vastaamaan vaatimuksia!

Kasve tukee mielellään yritystäsi kyberturvallisuusvaatimusten huomioimisessa sekä laadunhallintajärjestelmän prosesseissa, että tuotteesi teknisessä tiedostossa. Meiltä saat apua vaatimuksia vastaavaan tuotekehitykseen, riskienhallintaan sekä prosessien päivitykseen.

Ota rohkeasti yhteyttä – katsotaan miten voimme parhaiten auttaa!

Tutustu

Rosa Tengvall

Lead Quality Engineer

+358 50 470 7220

ISO 13485

ISO 13485 standardi toimii laadunhallintajärjestelmän viitekehyksenä paitsi lääkinnällisen laitteen valmistajille, myös muille ketjun organisaatioille.

Lue lisää

ISO 9001

ISO 9001 on maailmanlaajuisesti tunnettu vaikuttavien ja tehokkaiden laadunhallintajärjestelmien perusta.

Lue lisää

IEC 62366-1

IEC 62366-1 määrittelee lääkinnällisen laitteen valmistajalle prosessit analysoida, määritellä, kehittää ja arvioida laitteen käytettävyyttä sen käytön turvallisuuteen nähden.

Lue lisää

ISO 27001

ISO 27001 on kansainvälisesti tunnettu tietoturvallisuuden standardi.

Lue lisää

ISO 17025

ISO 17025 standardi kuvaa yleiset ja tekniset vaatimukset laboratorion pätevälle, riippumattomalle ja toistettavalle työskentelylle.

Lue lisää

ISO 15189

ISO 15189 on lääketieteellisten ja kliinisten laboratorioiden laadunhallintastandardi, joka nostaa keskiöön potilaan hoidon näkökulman.

Lue lisää

ISO 14971

ISO 14971 kytkeytyy tiukasti tuotteen koko elinkaareen ja täydentää ISO 13485:n kuvaamaa laadunhallintajärjestelmää riskinäkökulmasta.

Lue lisää

IEC 62304

Standardi IEC 62304 kuvaa lääkinnällisten laitteiden ohjelmistojen elinkaarihallinnan prosessit. Yhteensopiva standardien ISO 13485 ja ISO 14971 kanssa.

Lue lisää

IEC 60601

IEC 60601 on sarja teknisiä standardeja lääkinnällisten sähkölaitteiden turvallisuudelle ja olennaiselle suorituskyvylle.

Lue lisää

Lääkinnällisten laitteiden kyberturvallisuus | Ilmoitetun laitoksen näkökanta

Rosa Tengvall

Laadunhallinta ja regulaatioasiat

Liiketoiminnan kehittäminen

Ohjelmistojen elinkaarenhallinta

ISO 13485

ISO 9001

IEC 62366-1

ISO 27001

ISO 17025

ISO 15189

ISO 14971

IEC 62304

IEC 60601